Nouvelle CNIL, Airbus de l’IA… Les orientations du rapport parlementaire sur la GenAI

Clément Bohic,
Linkedin
IA générative rapport parlementaire

Ce rapport sur l’IA générative illustre l’ampleur des chantiers potentiels en matière de droit, de commande publique ou de coopération européenne.

Ne dites plus CNIL, mais « Haute autorité en charge de la protection des données et du contrôle de l’IA générative » ? Un rapport d’information parlementaire suggère une transformation en ce sens.

Dans la pratique, il ne s’agit pas tant de faire évoluer le nom de l’autorité que son statut, ses missions et son périmètre d’intervention. Et de lui donner les moyens d’aller au-delà du « service IA » qu’elle a mis en place l’an dernier. Cela doit passer par le recrutement d’un « grand nombre d’experts et techniciens en mesure de contrôler des algorithmes complexes », estiment les rapporteurs Philippe Pradal (député Horizons, Alpes-Maritimes) et Stéphane Rambaud (député RN, Var).

Faux, contrefaçon, plagiat… Quelle répression pénale pour l’IA générative ?

Entre autres questions à régler au niveau national, il y a celle de l’adaptation du droit pénal à la GenAI. Elle fait l’objet de plusieurs recommandations. Notamment :

– Faire de l’usage de contenus générés par IA une circonstance aggravante
Il s’agirait ici de modifier l’article 132-79 du Code pénal. Celui-ci prévoit pour le moment une aggravation des peines d’emprisonnement encourues en cas d’usage d’un moyen de cryptologie.

– Mieux encadrer les deepfakes
Levier potentiel : l’article 226-8 du Code pénal. En l’état, il réprime les montages réalisés sans le consentement de la personne… s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage. Il n’est cependant pas certain qu’une représentation à l’aide d’un contenu généré par un traitement algorithmique soit toujours constitutive d’un montage.
L’article 4 bis du projet de loi SREN clarifie ce point. Aussi MM. Pradal et Rambaud le soutiennent-ils.

– Engager une réflexion sur le délit de contrefaçon
Objectif : pénaliser la pratique consistant à masquer, à l’aide d’une IA générative, la reproduction de contenus préexistants. À l’heure actuelle, il n’est pas acquis qu’un contenu que produit une telle IA constitue un faux ou un plagiat. En droit pénal, il ne heurte pas forcément le droit d’un auteur. Et on ne considère pas nécessairement l’IA comme l’auteur du contenu qu’elle génère.

– Revoir la définition du faux
S’approprier le contenu d’une IA générative n’est pas à lui seul une altération frauduleuse de la vérité, explique le rapport, qui propose d’y remédier.

– Sanctionner l’empoisonnement des données d’entraînement d’une IA générative ou la modification clandestine de son algorithme
Véhicule potentiel : adapter l’article 323-1 du Code pénal. Celui-ci sanctionne les atteintes aux systèmes de traitement automatisé de données.

Responsabilité et action de groupe : des pistes pour adapter ces régimes

La diffusion de l’IA générative implique aussi des conséquences sur la responsabilité civile. Au niveau européen, un projet de directive rendu public en septembre 2022 vise à adapter la responsabilité pour produit défectueux et la responsabilité extracontractuelle. On n’en a toutefois aucune nouvelle depuis lors, déplorent les rapporteurs sur la foi de témoignages de représentants du Medef.

Dans ce contexte, le rapport conseille d’adapter, au niveau national, le régime de responsabilité des IA génératives à leurs spécificités. Cela induirait notamment un allègement de la charge de la preuve. Il s’agirait d’en favoriser le partage, en permettant au juge d’ordonner à l’éditeur d’un système de GenAI d’en divulguer des éléments de fonctionnement.

Autre piste : réformer le régime juridique de l’action de groupe prévu en matière de protection des données personnelles. En l’état, les memres du groupe doivent être exclusivement des personnes physiques. En outre, on ne peut diriger l’action que contre un responsable de traitement ou un sous-traitant. Ce qui n’inclut pas de manière évidente le prestataire d’un système d’IA générative. Surtout, ne sont visés que les litiges relatifs au traitement des données personnelles, alors que l’usage de ces systèmes peut entraîner d’autres types de préjudices.
Levier suggéré : une proposition de loi que l’Assemblée nationale a adoptée voilà près d’un an. Elle élargit la qualité pour agir et le préjudice indemnisable, tout en étendant le champ d’application de l’action de groupe à tous les droits subjectifs.

L’administration publique appelée à se coordonner sur l’IA générative

Le rapport touche également à l’usage de l’IA générative dans l’administration publique. En la matière, la gendarmerie nationale apparaît comme la plus mature. Une conséquence, en particulier, de son exposition directe aux usages détournés de la GenAI à des fins criminelles. Mais de manière générale, la coordination entre administrations « apparaît insuffisante ». Parmi les preuves avancées, une déclaration de l’ANSSI. Celle-ci a indiqué ne participer à aucune instance de dialogue et de concertation, alors même que des expérimentations voient le jour. Aussi le rapport suggère-t-il de prévoir une telle instance.

Autre suggestion : inciter les acheteurs publics à s’orienter vers des systèmes d’IA générative de confiance labellisés. L’Afnor a « montré son intérêt » pour cette approche qui « pourrait notamment porter sur la transparence du modèle et le respect […] du RGPD lors de la phase d’apprentissage ».

Avec en toile de fond le pilote lancé dans le réseau des maisons France services, le rapport entrevoit la possibilité d’ouvrir au public un chatbot pour l’accès au droit et à l’info administrative… à l’horizon 2027. En attendant, il insiste sur la formation des agents publics. Et sur leur implication, par exemple pour le renforcement humain des systèmes d’IA générative. Une procédure qu’on ne déléguera à des prestataires externes « que dans des cas exceptionnels et justifiés ».

Le vœu pieux d’un « Airbus de l’IA »

Sommet mondial sur les risques associés à l’IA à l’initiative du Royaume-Uni, travaux sur une définition de la GenAI au sein de l’OCDE, feuille de route commune UE-USA dans le cadre du Conseil du commerce et des technologies… Impossible de rester à l’écart des discussions internationales, nous affirme-t-on. Dans ce contexte, la France devrait nommer un ambassadeur à l’IA générative. Lequel pourrait s’appuyer sur l’expertise du comité créé en septembre dernier.

Au niveau européen, pourrait s’orchestrer un partage de connaissance et d’expérience en matière de contrôle des IA. Une démarche qui porterait la montée en compétence des autorités. À ce même niveau, le rapport suggère la création d’un « Airbus de l’IA ». En l’occurrence, d’une société européenne à capitaux partiellement publics sur la base d’un accord entre États membres.

Le rapport appelle à laisser à ces derniers « une marge d’appréciation suffisante pour leur permettre de soutenir l’innovation ». Il invite, en parallèle, à adapter les contraintes pesant sur leur recours à l’IA par rapport aux acteurs privés. Ainsi qu’à prendre en compte l’audience et le caractère systémique des systèmes d’IA générative avant de leur assigner un niveau de risque (logique : ne pas pénaliser les nouveaux acteurs).

Illustration généréé par IA